Sober, un ver des plus connus et encore très actif, vient enfin d'être analysé par F-Secure pour en comprendre son fonctionnement.

Sachant qu'une URL statique pour un retour d'information serait rapidement bloquée par les autorités, l'auteur a choisi une autre astuce. Et, pour cacher le tout, a crypté le tout pour que l'on ne puisse pas comprendre le fonctionnement trop facilement.

Enfin décrypté, l'astuce est simple, mais efficace. L'URL est calculée suivant la date du jour, tout simplement. Ce qui fait que, chaque jour, le virus va voir un nouveau domaine pour de nouvelles instructions. L'auteur de Sober n'a donc plus qu'à calculer l'URL pour un jour précis, enregistrer le domaine et le tour est joué.

Pour information, on pense que Sober va avoir un regain d'activité dans les alentours du 5 janvier prochain, un bon début d'année!